Nieuws

CISA waarschuwt voor gebruik van spoofing en netwerktunnels door aanvallers

woensdag 22 juli 2020, 15:53 door Redactie, 5 reacties

Aanvallers kunnen van verschillende technieken gebruikmaken om hun werkelijke locatie te verbergen, wat attributie van de aanval lastig maakt, zo stelt het Cybersecurity and Infrastructure Security Agency (CISA) van de Amerikaanse overheid. De overheidsinstantie, die onder het ministerie van Homeland Security valt, heeft een aparte waarschuwing afgegeven voor het gebruik van ip-spoofing en netwerktunnels door aanvallers.

Aan de hand van een ip-adres kan de geografische locatie van een aanvaller worden achterhaald. De kans is echter groot dat het ip-adres dat bij een aanval is gebruikt niet het werkelijke ip-adres van de aanvaller is, aldus het CISA. Zo kunnen aanvallers de pakketten die bij een aanval zijn gebruikt van een ander source ip-adres voorzien. Een techniek die vaak bij ddos-aanvallen wordt toegepast.

Een andere manier om het ip-adres te verbergen is het gebruik van een netwerktunnel. Aanvallers maken hierbij gebruik van virtual private servers (VPS's). De aanvaller zet een verbinding op naar de VPS en voert daarvandaan de aanval uit, aldus de uitleg van het CISA. De aangevallen organisatie ziet zodoende alleen het ip-adres van de VPS-provider.

"Het gemak waarmee ip-adressen zijn te spoofen en de mogelijkheid dat activiteiten via een netwerk zijn te tunnelen om het werkelijke ip-adres te verbergen voorkomt alle pogingen om alleen op basis van het ip-adres de fysieke locatie te achterhalen", zo stelt de Amerikaanse overheidsinstantie. Met de waarschuwing hoopt het CISA organisaties te informeren over de technieken die aanvallers kunnen toepassen.

Vpn-provider lekt opnieuw privégegevens van miljoenen gebruikers

Landen vragen Google om locatie-instelling voor corona-apps aan te passen

Reacties (5)

22-07-2020, 16:46 door User2048

Ik vraag me af welke doelgroep het CISA voor ogen heeft met deze berichtgeving. Iemand die niet onderlegd is in IT snapt het niet of kan het niets schelen. Iemand die wel iets van IT weet, weet dit al.

22-07-2020, 17:22 door Anoniem

Door User2048: Ik vraag me af welke doelgroep het CISA voor ogen heeft met deze berichtgeving. Iemand die niet onderlegd is in IT snapt het niet of kan het niets schelen. Iemand die wel iets van IT weet, weet dit al.

Je hebt echt een heel klein netwerk als je echt denk dat "iedereen" in de IT dit al weet.

Maar de doelgroep zal feitelijk bestaan uit 'iedereen' die iets met IT security van doen heeft.
Maar goed, een bekend probleem dat nog steeds speelt mag gewoon best opnieuw onder de aandacht gebracht worden.

Voor een deel van technische IT doelgroep zal het toch echt nieuws zijn. (hier - met een hoop mensen die denken iets van security te weten krijgen we ook zo'n beetje maandelijks de vraag "waarom een VPN" . Van dus mensen die al een security forum weten te vinden. )
En het kan ook geen kwaad dat IT management het (ook) van een 'belangrijke instantie' hoort.
Serieus - als je technisch werkt in de IT kan het erg nuttig zijn wanneer je iets wilt om te kunnen verwijzen naar advies/urgentie van een nationaal cert die dat zegt.

22-07-2020, 19:27 door Anoniem

Door Anoniem:

Je hebt echt een heel klein netwerk als je echt denk dat "iedereen" in de IT dit al weet.

Ik denk dat er zelfs al heel veel mensen buiten de IT zijn die dit weten.
Ze gebruiken dit (via een VPN, die met die mogelijkheid adverteert) om de locatie detectie van bijvoorbeeld aanbieders
van TV en Radio programma's te omzeilen. Zit je niet in je eigen land en wil je de TV zender van thuis krijgen, dan word
je op basis van je IP adres buitengesloten. Oplossing: neem een VPN en je krijgt een adres in je eigen land en kunt
gewoon kijken. Dat weten heel veel mensen al.

Beter was het als men de afwezigheid van source adres filtering (die niet voor dit soort toepassingen gebruikt kan worden
maar wel in de context van DDoS enzo) eens aan de kaak zou stellen. Providers die dit niet implementeren aan de
schandpaal nagelen zodat het hopelijk wat minder vaak voorkomt. En provider die geen BCP38 implementeert
verdient niks beter dan een die een open mail relay draait.

27-07-2020, 02:16 door Anoniem

Gosh, komen ze daar nu pas mee, daar zat ik al mee te knutselen in de jaren 80 al, hoe je gemakkelijk iets kon omzeilen zonder dat het 'meetbaar' was door firewalls of ander ongein en het werkte vaak nog ook.

een oud gediende

04-08-2020, 15:11 door Anoniem

Mmmm het source ip adres aanpassen in het pakket, dat zorgt niet voor een verbinding (maar wel een ddos op het source adres van berichten terug). Dit is echt spoofen

Via een VPS gaan, is gewoon via een proxy gaan en niet spoofen. Ja dan zie je alleen het adres van de proxy, goh wauw wat een openbaring.....

Komkomhier komkomertijd

Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Bitcoin:

Vacature

Junior DevOps Engineer

Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?

Lees meer

Vacature

Cybersecurity Trainer / Streamer

Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.

Lees meer

Ik moet ineens mijn portret in mijn Office 365 account stoppen, mag dat?

13-11-2024 door Arnoud Engelfriet

Juridische vraag: Ik werk in de publieke sector bij een organisatie die tussen 500-1000 medewerkers heeft. Vandaag werden wij ...

33 reacties

Lees meer